Bạn có nhiều khả năng bị sét đánh hơn là bị nhiễm phần mềm độc hại di động

Tại hội nghị RSA 2015, các nhà nghiên cứu từ công ty bảo mật Damballa tuyên bố rằng, tại Hoa Kỳ, bạn có nhiều khả năng bị sét đánh hơn là bị nhiễm phần mềm độc hại di động. Trong khi điều này hỗ trợ một nghiên cứu trước đây được thực hiện bởi công ty, Damballa đã tìm thấy điều gì đó rất kỳ lạ xảy ra trên thiết bị di động.

Theo dõi lưu lượng độc hại

Hoạt động kinh doanh của Damballa là tự động vi phạm dựa trên các phân tích dữ liệu lớn. Khi làm việc với một nhà mạng không dây lớn ở Mỹ, Damballa có thể so sánh dữ liệu lưu lượng truy cập với các URL độc hại đã biết được trích xuất từ ​​khoảng 70.000 mẫu phần mềm độc hại di động. "Đó là một chút của một quy trình thủ công để loại bỏ các tên miền phổ biến có thể không liên quan đến phần mềm độc hại", Charles Lever, nhà nghiên cứu khoa học cao cấp giải thích. "Thật đau đớn."

Trong nghiên cứu của họ, Lever nói rằng Damballa không có quyền truy cập vào tải trọng của các truyền này, chỉ là các URL. Công ty đã nói rõ rằng nó không có khả năng hiển thị dữ liệu khách hàng.

Phạm vi nghiên cứu của Damballa là rất lớn, tập trung vào khoảng 151 triệu thiết bị mỗi ngày, tăng từ 25 triệu khi công ty thực hiện nghiên cứu vào năm 2012. Công ty cho biết số tiền này chiếm tới 50% lưu lượng dữ liệu di động ở Mỹ Nhưng những điều này, công ty chỉ thấy một số 9.688 thiết bị tiếp cận với các URL liên quan đến phần mềm độc hại di động.

Điều đó giải quyết được tới 0, 0064 phần trăm lưu lượng là độc hại. Trong thông cáo báo chí của công ty, Damballa nói rằng tỷ lệ chính thức của Dịch vụ thời tiết quốc gia về việc bị sét đánh cao hơn đáng kể ở mức 1, 3%.

Nơi trú ẩn an toàn

Lever nói rằng kết luận của nghiên cứu đã ủng hộ quan điểm rằng trong khi phần mềm độc hại di động đã được thảo luận nhiều trong giới bảo mật (và bởi tác giả này). "Chúng tôi đang tìm thấy rất nhiều mẫu phần mềm độc hại, nhưng tôi không chắc những mẫu này đang xâm nhập vào thiết bị của họ", Lever nói.

"Chúng tôi có thị trường bên thứ nhất mạnh mẽ ở Mỹ", Lever tiếp tục, đề cập đến cửa hàng Ứng dụng Apple và cửa hàng Google Play. Ông nói rằng các cửa hàng đó có các biện pháp bảo mật tốt giúp tránh các tác nhân xấu nhất và bao gồm các công cụ cho phép Apple và Google vô hiệu hóa từ xa hoặc xóa các ứng dụng độc hại có thể tìm đường đến thiết bị của người dùng.

Tất nhiên, nghiên cứu của Damballa có những hạn chế. Chẳng hạn, nó tập trung vào lưu lượng mạng có khả năng gây hại hơn là cài đặt độc hại thực sự trên thiết bị di động. Nó cũng chỉ bao gồm một nửa của Hoa Kỳ, mà phần lớn thế giới không được tính đến. Lever nói rằng có khả năng nhiễm phần mềm độc hại trên thiết bị di động có thể cao hơn nhiều so với Hoa Kỳ "Tôi có thể thấy nó cao hơn nhưng tôi không thể nói điều đó theo kinh nghiệm", Lever nói.

Thật thú vị, trong số lưu lượng truy cập di động độc hại mà Damballa quan sát thấy, hầu hết lưu lượng truy cập sẽ được mô tả là phần mềm quảng cáo.

Giao thông bóng tối

Nhưng trong khi phần mềm độc hại trên thiết bị di động không thể hiện được lớn trong nghiên cứu của Damballa, thì một số thứ khác đã làm. Ngoài lưu lượng truy cập có liên quan đến phần mềm độc hại trên thiết bị di động, Lever giải thích rằng Damballa cũng theo dõi các yêu cầu từ thiết bị di động đến các loại cơ sở hạ tầng độc hại khác. Đây có thể là cơ sở hạ tầng cho phần mềm độc hại trên máy tính để bàn, hoạt động lừa đảo, botnet, v.v. Các yêu cầu này làm mờ các phần của Internet bằng thiết bị di động, Lever giải thích, cao hơn đáng kể so với yêu cầu URL phần mềm độc hại di động.

Lớn hơn bao nhiêu? Bằng nhiều mệnh lệnh cường độ. Damballa đã báo cáo 100.000 yêu cầu liên quan đến phần mềm độc hại trên thiết bị di động, mà nó bắt nguồn từ 10.000 thiết bị kỳ quặc đó. Nó đã theo dõi 100 triệu yêu cầu đến các trang web có vẻ là lượt tải xuống và 1 tỷ yêu cầu (với "b!") Liên quan đến phần mềm độc hại nhắm vào máy tính để bàn. Một lần nữa, những yêu cầu này đều đến từ các thiết bị di động.

Lever nói rằng mặc dù những yêu cầu mờ ám này từ các thiết bị di động "lớn hơn đáng kể so với những gì chúng ta thấy đối với phần mềm độc hại trên thiết bị di động", nguyên nhân của chúng phần lớn chưa được biết.

Lever cho rằng một số lưu lượng truy cập có thể đến từ người dùng di động trở thành nạn nhân của các trang web lừa đảo. Các chuyên gia bảo mật khác đã gợi ý rằng lừa đảo có thể dễ dàng hơn trên các thiết bị di động vì màn hình nhỏ tương đương sẽ cắt các URL trông đáng ngờ và biểu tượng khóa được liên kết với kết nối SSL không hiển thị.

Trong suốt cuộc trò chuyện, Lever vẫn chủ yếu lạc quan về bảo mật di động, nhưng khi thảo luận về những phát hiện bất thường này, anh đã có một bước ngoặt tiêu cực. Ông nói rằng trong khi bất cứ điều gì gây ra lưu lượng mạng đáng ngờ này có thể không phải là vấn đề ngày hôm nay, thì nó có thể là trong tương lai. Hoặc thậm chí nó có thể là kết quả của các ứng dụng độc hại hiện chưa biết.

• Android 4.1.1 vẫn dễ bị tấn công Android 4.1.1 vẫn dễ bị tổn thương
• Ứng dụng Android độc hại có thể hack Gmail Ứng dụng Android độc hại có thể hack Gmail
• Mối đe dọa trên thiết bị di động Thứ hai: Ứng dụng Android Ẩn phần mềm độc hại của Windows Thứ hai về mối đe dọa trên thiết bị di động

"Đó là một lĩnh vực rủi ro lớn hiện chưa được nghiên cứu kỹ và có thể sử dụng nhiều nghiên cứu hơn để tìm hiểu xem đây là gì", Lever nói. "Có phải là lừa đảo không? Có phải là thư rác không? Sự cố là gì? Và hiện tại nó ảnh hưởng đến bao nhiêu thiết bị di động và trong tương lai có thể là bao nhiêu?"

Hy vọng nghiên cứu trong tương lai sẽ có thể đặt câu đố này cùng nhau.